/ / Abspielen! Rahmen: Verwenden der Sitzung für die Authentifizierung - Java, Authentifizierung, Login, Web, Playframework-2.0

Abspielen! Rahmen: Verwenden der Sitzung für die Authentifizierung - Java, Authentifizierung, Login, Web, Playframework-2.0

Also verwende ich Play! Framework für ein Website-Projekt.
Ich verwende eine Sitzung, um festzustellen, ob sich der Benutzer angemeldet hat: 

session("connected", user.getId().toString());

dann kann ich identifizieren, wer der Benutzer ist, wenn ich es möchte.

Ich habe zwei Fragen:

  1. Ist das die beste Praxis?
  2. Gibt es Schwachstellen in meinem einfach Login-System, und wie man sie abschafft?

Antworten:

5 für die Antwort № 1

Es ist einfach und sicher, da die Cookies des Sitzungsbereichs mit einem geheimen Schlüssel signiert sind. Wenn keine großen Datenmengen für jede Sitzung gespeichert werden müssen, sollte dies in Ordnung sein.

Suchen Sie nach vorhandenen Lösungen (z. B. zentasks Probe).

Bearbeiten:

Auf der anderen Seite können Sie die Verwendung von Play Authenticate in Erwägung ziehen in meiner Gabel (Zweig 2.0.4_session) im samples / java / play-authenticate-usagees sind nur 3 Commits, also ist es ziemlich einfach, es mit dem bestehenden zu verschmelzen play-authenticate-usage Implementierung.

Verwandte Fragen

SSLTLS-Unterstützung in Play 2.2.1 - ssl, playframework, playframework-2.0, ssl-Zertifikat
wie sichere Flag für Cookies inplay 2.1.0 - Sicherheit, playframework, http-Header gesetzt werden
Scala Spielsitzung immer leer - scala, session, playframework-2.0
Wie implementiert man HTTP Basic Auth in Play Framework 1.2? - playframework, playframework-1.x, http-basic-authentication
Deaktivieren oder umgehen Sie Sitzung und Authentifizierung im Play Silhouette Framework - playframework, silhouette
Play 2 Authentifizierungs- und Autorisierungsmodul [geschlossen] - playframework, playframework-2.0
.net Session-und Benutzer-Cookie persistent Authentifizierung -. NET, Authentifizierung, Session-Cookies
SSO - SAML-Anfrage - Login, Single-Sign-On, saml
OpenID mit Play Framework - Java, Playframework, Openid
Korrekte Verwendung der @ Security.Authenticated (Secured.class) -Anweisung in Play FrameWork - Java, http, Sitzung, Playframework
Play Http.Context-Implementierung - Java, Playframework, Playframework-2.0
Spiel-Framework 1.0. Wo kann ich groovy UI Templating [geschlossen] lernen - groovy, playframework, playframework-1.x
Play Framework-Authentifizierung: Request-Header werden in der Produktion nicht hinzugefügt - Deployment, Playframework, Playframework-2.0, Request-Header
Wechsel von Windows zur Formularauthentifizierung - c #, asp.net, Authentifizierung, Webforms
Grundlegende Authentifizierungsfrage - Authentifizierung
Play Framework-Abhängigkeit benutzerdefiniertes Modul Remote-Repository-Authentifizierung - Authentifizierung, Modul, Playframework, Abhängigkeiten, Remote-Zugriff
wie man Seite auf Standardseite mit FormsAuthentication umleitet? - asp.net, abmelden, linkbutton
ASP.NET MVC-Authentifizierung und Sitzungs-Time Out - asp.net-mvc
Wenn nicht anmelden, dann umleiten, um mit AuthorizeWebForm-Attribut anmelden - asp.net-mvc-4, Attribute, Formularauthentifizierung
Ember.js & Spielen! Framework-Authentifizierungsmethoden - angularjs, authentication, ember.js, playframework-2.0